Журнал "Information Security/ Информационная безопасность" #6, 2020

Необходимо проверять полученные дан- ные в ретроспективном режиме. А если учесть, что среднее время публикации информации об APT-кампании состав- ляет 14 месяцев, то просто необходимо иметь ретроспективные данные за этот период времени. Многие ли из имею- щихся средств защиты позволяют про- верять гипотезы в ретрорежиме на дан- ных за полтора-два года? А делать то же самое в потоковом режиме? Да, без- условно, такой инструментарий есть. И все большее число производителей средств защиты понимают необходи- мость ретрорежима, но пока все же далеко не весь инструментарий защиты готов поддержать эффективную работу с историческими данными. И да, все это будет работать, только если TI дает дан- ные с привязкой ко времени их актуаль- ности. Таким образом, становится понятно, что с имплементацией TI в инфраструк- туру есть определенные сложности. Перед покупкой и началом использова- ния этого инструмента необходимо оце- нить, что еще следует поменять, чем оснаститься, а самое главное – есть ли специалисты, готовые качественно с ним работать. Может оказаться так, что основные затраты на TI будут относиться не к покупке, а к выстраиванию процес- сов, приобретению TI-платформы для правильного управления получаемыми данными. TI бывает разный Всем известны уже ставшие класси- ческими подходы к классификации TI: l по уровню влияния на принятие реше- ний – стратегический и тактический; l по способу получения, хотя большин- ство поставщиков не любят об этом говорить; l по типу данных. Организация должна уметь применять TI на всех уровнях. С помощью страте- гического – следить за трендами и ста- тистикой угроз и, исходя из них, анали- зировать свои возможности: выявлять пробелы в видимости угроз, покрытие детектами для техник и тактик и проче- го. А главное – понимать, кто находится по ту сторону баррикад. На уровне так- тики должна быть возможность опера- тивно применять полученные из TI зна- ния – фиды, правила и индикаторы. Соответственно, должны быть системы, которые это поддерживают, ведь бес- полезно покупать фиды или, скажем, получать yara-правила, если их негде применить. Что касается фидов, то здесь в первую очередь надо обратиться к внутренним данным, проанализировать, кто именно атакует организацию. Для этого следует изучать и уже отраженные угрозы, например все фишинговые письма, даже если они были заблокированы сред- ствами защиты. Ведь это сегодня ата- кующие не смогли обойти средства защиты, а завтра купят, к примеру, новый криптор и смогут попасть внутрь периметра организации. Далее надо подробно изучать публичные отчеты проверенных экспертов, отдавая прио- ритет тем, кто анализирует наиболее релевантные для организации угрозы. И уже только после всего этого можно подумать о покупке тех или иных при- ватных фидов и данных. Качество и пользу TI сложно оценить, стоит ориентироваться на географию и отрасли, на которых специализируется тот или иной поставщик данных. Напри- мер, российской компании малополезно покупать данные у поставщика, который признан мировым сообществом, но прак- тически не имеет дела с угрозами рос- сийской региональной специфики, явно на этом не специализировался, не спе- циализируется и, скорее всего, не будет этого делать. Не вполне логично также покупать TI у тех поставщиков, чьими средствами защиты компания уже поль- зуется. Если вендор поставляет обнов- ления баз детектов для своего продукта, то и данные из его же TI должны попадать туда. Зачем за одно и то же платить дважды? Колоссальное значение для TI в общем смысле имеет отраслевой обмен дан- ными об угрозах, инцидентах и атаках. Потому что если сегодня атакуют одного представителя отрасли, то с большой долей вероятности его "соседа" атакуют завтра (если не сделали это еще вчера). Качественный обмен информацией может поднять общий уровень защи- щенности целой отрасли, при условии, что более развитые с точки зрения ИБ компании будут оперативно делиться с комьюнити хотя бы своим стратегиче- ским TI. Базовый рецепт "приготовления" TI После выбора TI и понимания, что ком- пания готова его поддержать технологи- чески, надо не забыть подумать об основ- ных этапах работы с ним. Во-первых, следует обеспечить сбор и хранение дан- ных, а их ежечасный объем может иногда измеряться сотнями тысяч записей. Получаемые данные необходимо пра- вильно обработать и передать соответ- ствующие фрагменты в нужные СЗИ (NTA, SIEM, EDR, песочницы и т.д.), ну или, если речь идет о стратегическом TI, отдать аналитику. Разные средства защиты понимают данные разного фор- мата и даже разные их сущности. Напри- мер, в SIEM-систему редко попадает информация о хеш-суммах файлов, тогда как для NTA-решение или песоч- ницы это один из основных типов дан- ных. Именно во время обработки данных как раз и следует обратить внимание на такие параметры, как уровень доверия, актуальность и применимость в данной инфраструктуре (о них мы уже говорили ранее). На этом этапе полученные дан- ные можно дополнительно обогатить и передать в средства защиты уже с дополнительным контекстом. После доставки данных до средств защиты необходимо проанализировать результаты их использования: выявить ложные срабатывания, понять, какие инциденты были сгенерированы или обо- гащены данными из TI. Если, допустим, выявлено большое количество ложных срабатываний и нерелевантных данных, следует откатиться к этапу обработки и исключить эти данные. Я видел случаи, когда попадание DNS-серверов компа- нии Google в фиды вызывало лавинооб- разное количество инцидентов в SOC, а в результате – простои в непрерывном мониторинге из-за возросшей нагрузки на операторов и технические средства, обрабатывающие события. Оценить же эффективность можно лишь по одному критерию – количеству заблокированных атак или инцидентов, выявленных на основании данных TI. Заключение TI – "удовольствие" для зрелых ком- паний, имеющих необходимые техно- логии и выстроенные процессы. Так что организация, которая хочет начать его использовать, должна до него "дорасти": l обладать средствами защиты, умею- щими работать с TI; l иметь экспертов, которые в состоянии адаптировать и понять, какую информа- цию они получили и как она может быть применима. К сожалению, часто работа с TI ограничивается тем, что все получаемые фиды подключаются к SIEM-системе и тот "захлебывается" в колоссальном коли- честве ложных срабатываний или вовсе выходит из строя из-за недостаточной производительности. Этот пример – клас- сический результат неэффективных, необдуманных и невзвешенных решений. Поэтому я советую не гнаться за модными словами и технологиями, а в первую очередь обратить внимание на данные, которые уже есть в организации, и вло- житься в экспертов, которые могут, ана- лизируя открытую информацию различ- ного типа, существенно влиять на эффек- тивность защиты компании. l • 39 УПРАВЛЕНИЕ www.itsec.ru C имплементацией TI в инфраструктуру есть определенные сложности. Может оказаться так, что основные затраты на TI будут относиться не к покупке, а к выстраиванию процессов, приобретению TI-платформы для правильного управления получаемыми данными. Ваше мнение и вопросы присылайте по адресу is@groteck.ru